パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

中国政府、TLS 1.3とESNIを使用するすべての暗号化されたHTTPSトラフィックをブロック中」記事へのコメント

  • by Anonymous Coward on 2020年08月13日 16時33分 (#3869720)

    ESNIブロックは、外国人が持ち込むPCやスマホでSNI使用時にアクセス先のFQDNを取得できなくなることへの対策といったところでしょう。

    一般の中国国民の通信に関しては、スマホだろうがWindows PCだろうが、中国国内で一般に市販されているものは政府のルート証明書がインストールされていますので、SSL/TLS を使っていようが政府が内容を復号できます。

    (中間者攻撃をして、政府の証明書の秘密鍵で再度暗号化する方法での解読)

    SSL/TLS が安全だと過信している人がいますが、信頼できないルート証明書が1枚でもPCに入っていたら終わりです。Windows PCなんかは信用できないアプリをAdministrator権限でインストールしたらもう終わり。
    スマホも、サポートが切れたAndroidなどは脆弱性でルート証明書追加したら終わり。

    そもそもOSにバックドアが組み込まれているかもしれないし、国家レベルの検閲に抗うのはなかなか難しいものです。

    • by Anonymous Coward on 2020年08月13日 17時50分 (#3869765)

      「そもそも中国では SSL/TLS 通信の内容はダダ洩れ」というのはデマ。

      ESNIブロックは、外国人が持ち込むPCやスマホでSNI使用時にアクセス先のFQDNを取得できなくなることへの対策といったところでしょう。

      ダウト。そもそも外国人は国際ローミングや訪中外国人向けSIMカードなどで金盾を迂回可能であり、中国政府のスコープ外。

      一般の中国国民の通信に関しては、スマホだろうがWindows PCだろうが、中国国内で一般に市販されているものは政府のルート証明書がインストールされていますので、SSL/TLS を使っていようが政府が内容を復号できます。

      ダウト。それをやっているのはカザフスタン [gigazine.net]。中国はやってない。
      Firefoxなどは独自の証明書ストアを使うので、Mozillaに政府証明書バンドルを強制させようとした段階でバレる。

      Windows PCなんかは信用できないアプリをAdministrator権限でインストールしたらもう終わり。
      スマホも、サポートが切れたAndroidなどは脆弱性でルート証明書追加したら終わり。

      ダウト。管理者権限で任意のアプリや証明書をインストールできる段階で何もかも終わってる。SSL/TLS以前の問題。
      「ピッキング防止錠を過信している人がいますが、爆弾で吹き飛ばされたら終わりです」というのと同義。

      親コメント

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...